Ulasan Setahun:12 Pertimbangan Keamanan IoT

Dari sudut pandang konsumen, kekhawatiran keamanan IoT terbesar adalah privasi -terkait. Sebuah keluarga mungkin khawatir kamera keamanan mereka bisa memberi orang asing pandangan sekilas ke rumah mereka. Atau data yang dikumpulkan oleh speaker pintar mereka rentan.

Meskipun kekhawatiran tersebut sah, namun tidak sesuai dengan model ancaman yang paling umum atau mewakili risiko keamanan IoT yang paling signifikan. Penyerang yang menargetkan perangkat IoT lebih cenderung melihat perangkat tersebut sebagai alat untuk mencapai tujuan. Mungkin mereka bisa memanfaatkan banyak dari mereka dalam serangan penyangkalan layanan terdistribusi. Atau gunakan sebagai titik pivot untuk mencapai target yang lebih berharga di jaringan.

Dalam pembicaraan baru-baru ini di DEFCON di Las Vegas, Bryson Bort, chief executive officer Scythe, ketua GRIMM dan penasihat Army Cyber ​​Institute di West Point menjelaskan beberapa tren paling berarti di bidang keamanan siber terkait dengan IoT dan sistem kontrol industri dalam satu tahun terakhir.

1. Atribusi Negara-Bangsa Tumbuh Lebih Umum

Belum lama ini, kelompok kejahatan terorganisir tampaknya berada di balik sebagian besar serangan siber. Namun sekarang, aktor negara-bangsa meningkatkan permainan mereka — terkadang merekrut bakat dari dunia maya.

Laporan Investigasi Pelanggaran Data terbaru dari Verizon menunjukkan volume pelanggaran yang dilakukan pada kelompok kejahatan terorganisir menurun drastis sejak 2015. Dalam jangka waktu yang sama, aktivitas yang berafiliasi dengan negara meningkat.

Ketika tingkat aktivitas negara-bangsa meningkat, upaya untuk mengaitkan negara mana yang berada di balik serangan tertentu juga meningkat. Sementara peneliti keamanan siber sering berfokus pada sisi teknis serangan, Bort mengatakan penting untuk memahami peran kemungkinan motivasi negara-bangsa dalam serangan tertentu.

2. Menyerang Perangkat IoT sebagai Pivot Point Benar-Benar Mengkhawatirkan

Risiko penyerang memata-matai Anda saat Anda keluar dari kamar mandi melalui kamera yang terhubung ke internet adalah nyata. Namun pelanggaran semacam itu tidak sejalan dengan tujuan umum para pelaku ancaman untuk mendapatkan keuntungan finansial atau spionase yang ditargetkan oleh perusahaan atau pemerintah.

Namun, ancaman yang lebih signifikan adalah menggunakan perangkat IoT untuk serangan lateral. Melanggar banyak perangkat IoT komoditas relatif sepele, dan ini memberikan titik awal untuk spionase atau sabotase lebih lanjut.

Pusat Respons Keamanan Microsoft baru-baru ini melaporkan telah mengamati aktor ancaman yang menargetkan "telepon VOIP, printer kantor, dan dekoder video." Motivasi penyerang yang jelas adalah untuk mendapatkan akses ke berbagai jaringan perusahaan. “Setelah aktor berhasil membuat akses ke jaringan, pemindaian jaringan sederhana untuk mencari perangkat tidak aman lainnya memungkinkan mereka menemukan dan bergerak melintasi jaringan untuk mencari akun dengan hak istimewa lebih tinggi yang akan memberikan akses ke data bernilai lebih tinggi,” laporan menjelaskan. Microsoft mengaitkan aktivitas tersebut dengan grup yang disebut "Stronsium," yang juga dikenal sebagai APT 28 dari Fancy Bear. Kolektif tersebut juga diduga terlibat dalam peretasan DNC pada tahun 2016.

3. Air-Gapping (Masih) Tidak Ada

Secara teori, jaringan air-gapped secara fisik terisolasi dari seluruh dunia, membuatnya kebal terhadap serangan yang melintasi internet. Pada kenyataannya, organisasi yang memanfaatkan pendekatan keamanan demi ketidakjelasan menghadapi risiko tinggi untuk dilanggar. "Apakah ada yang pernah benar-benar melihat celah udara yang nyata?" tanya Bort. “Tidak, karena mereka sebenarnya tidak ada. Tidak satu kali pun sepanjang hidup saya melakukan pengujian pena di lingkungan kontrol industri [saya pernah melihatnya],” tambahnya.

Contoh paling terkenal dari pelanggaran sistem yang konon air-gapped kemungkinan adalah Stuxnet. Dalam pelanggaran itu, penyerang dapat memperoleh akses ke jaringan di dalam fasilitas nuklir Iran — mungkin melalui stik USB.

4. Sisi Gelap Energi Hijau Adalah Keamanan Siber

Bahwa jaringan listrik A.S. rentan terhadap serangan siber telah menjadi terkenal berkat upaya jurnalis kawakan seperti Ted Koppel, yang bukunya tahun 2015 “Lights Out” membahas topik itu. Juga pada tahun 2015, konon peretas Rusia dapat menutup sementara untuk sekitar 230.000 orang. Untuk sementara, surat kabar AS telah menerbitkan serangkaian artikel yang mengklaim bahwa Rusia menargetkan jaringan listrik AS. Baru-baru ini ada pengungkapan anonim bahwa Amerika Serikat juga menargetkan Rusia.

Situasi ini menimbulkan pertanyaan mengapa negara-negara di seluruh dunia menggunakan teknologi informasi secara substansial dalam jaringan listrik mereka jika hal itu menimbulkan sejumlah ancaman baru.

Bort bertanya:“Mengapa kita tidak kembali ke analog sepenuhnya?”

Bagian dari jawaban atas pertanyaan tersebut adalah energi hijau. Sejumlah faktor, dari orang-orang di seluruh dunia yang membeli kendaraan listrik hingga memasang panel surya di atap mereka, secara mendasar telah mengubah persamaan distribusi daya. Beberapa dekade yang lalu, aliran elektron dari gardu induk ke konsumen searah. Tapi sekarang, konsumen, melalui energi terbarukan seperti energi surya sekarang sesekali menyumbangkan listrik kembali ke jaringan. “Sekarang, saya membutuhkan komputer untuk menangani jaringan listrik yang jauh lebih kompleks,” kata Bort.

5. Negara-Bangsa Semakin Menargetkan Infrastruktur Penting

Cyberwarfare mungkin bukan hal baru, tetapi negara-bangsa tampaknya meningkatkan upaya mereka dalam menargetkan sistem kontrol industri saingan dan infrastruktur penting. Infrastruktur tersebut berkisar dari mesin pemungutan suara hingga infrastruktur air dan listrik.

Secara umum, aktor negara-bangsa dengan divisi cyber paling maju adalah Amerika Serikat, Inggris, Israel, Rusia, Korea Utara, dan Iran. Vietnam kemungkinan akan mendapatkan honorable mention, kata Bort. “Pada tahun lalu, kami telah melihat Vietnam melakukan spionase negara-bangsa pada tingkat yang ekstrim.

Awal tahun ini, Bloomberg melaporkan bahwa "peretas 'berpihak pada negara' Vietnam" menargetkan perusahaan otomotif asing untuk mendukung inisiatif manufaktur kendaraan yang sedang berkembang di negara ini.

6. Serangan Cyber ​​Membantu Mendanai Negara Terisolasi 

Pada tahun 2017, The New York Times melaporkan pemerintahan Trump telah meminta $ 4 miliar untuk membantu mendanai senjata siber untuk menyabot sistem kontrol rudal Korea Utara. Pendanaan itu juga akan mendukung drone dan jet tempur untuk menjatuhkan rudal semacam itu dari langit sebelum mencapai pantai AS. Publikasi yang sama mengutip sumber anonim yang mengklaim bahwa kampanye siber yang sedang berlangsung telah menargetkan sistem rudal negara itu setidaknya sejak 2014.

Kerutan lain dari cerita ini adalah laporan PBB yang mengungkapkan bagaimana Korea Utara membantu mendanai program senjatanya. Dinyatakan bahwa negara tersebut mencuri dana $2 miliar dari lembaga keuangan dan pertukaran mata uang kripto.

Bort mengatakan kemungkinan Korea Utara menggunakan dana tersebut untuk berbagai pembelian. “Tidak ada yang peduli dengan mata uang [Korea Utara]. Mereka berada dalam ekonomi tertutup, ”katanya. “Jika Pemimpin yang Terhormat menginginkan wiski dan Ferrari, dia tidak dapat membelinya dengan mata uang lokal. Dia membutuhkan mata uang keras, ”tambahnya. “Jadi, motif utama mereka dari perspektif dunia maya adalah pencurian.”

7. Satu Serangan Cyber ​​Dapat Menyebabkan Kerusakan Ratusan Juta Dolar

Dalam istilah yang ketat, WannaCry dan variannya tidak secara eksplisit berfokus pada IoT atau ICS. Tetapi malware, yang menargetkan sistem operasi Microsoft Windows, menyebabkan kerusakan serupa pada korbannya. WannaCry menunjukkan bahwa sepotong malware dapat menghalangi operasi Layanan Kesehatan Nasional Inggris. Biaya malware untuk NHS, yang juga menyebabkan pembatalan 19.000 janji, adalah £92 juta. Sementara itu, sepupu WannaCry, NotPetya, menelan biaya konglomerat pengiriman global antara $200–300 juta.

Setelah malware diperkenalkan ke pabrik melalui pemasok yang rentan, citra emas pabrik itu sudah sangat tua sehingga tidak dapat ditambal. Setelah varian WannaCry dikerahkan di lingkungan, “itu membahayakan semua yang bisa disentuhnya dan menghancurkan seluruh pabrik,” kata Bort.

Sementara AS telah mengaitkan WannaCry dengan Korea Utara, kecil kemungkinan negara-bangsa tersebut bermaksud menginfeksi pabrik tersebut. "Ini adalah pemasok yang kebetulan memiliki gambar yang terinfeksi dan memperkenalkannya," kata Bort. "Aku tahu. Ini gila.”

8. Trisis Harus Menjadi Wake-Up Call

Seperti WannaCry, Trisis tampaknya dimulai pada tahun 2017. Para penyerang, yang diyakini FireEye memiliki hubungan dengan Rusia, menggunakan kombinasi kampanye berbasis phishing dan watering-hole terhadap korban mereka. Para penyerang pertama kali menargetkan I.T. infrastruktur dan kemudian pindah secara lateral ke O.T. jaringan, di mana mereka menyerang sistem instrumentasi keselamatan di fasilitas infrastruktur penting. "Itu masalah besar," kata Bort. “Dalam sistem kontrol industri, [SIS] mengoperasikan sensor dan komputer mengubah berbagai hal di lingkungan fisik.”

Sementara pengontrol logika yang dapat diprogram menghitung apa yang harus terjadi di lingkungan fisik untuk kontrol industri, "mereka adalah komputer bodoh," kata Bort. “Saya tidak perlu meretas PLC. Yang harus saya lakukan adalah memberi tahu PLC apa yang harus dilakukan. Mereka tidak memvalidasi saya. Mereka tidak mencari otoritas. [..] “Itulah yang dilakukan SIS.”

Sementara korban pertama Trisis yang diungkapkan berbasis di Timur Tengah, CyberScoop melaporkan para pembuat serangan sekarang menargetkan jaringan listrik AS.

9. Kampanye Infrastruktur Penting Sedang Meningkat

Mungkin ada sedikit contoh yang menunjukkan di mana sebagian besar populasi di seluruh dunia dipengaruhi oleh serangan cyber berbasis infrastruktur kritis. Tetapi semakin banyak peretas yang menargetkan infrastruktur ini. “Poin utama di sini dengan serangan infrastruktur kritis adalah bahwa ini adalah kampanye intelijen berulang,” kata Bort. “Kami tidak memiliki banyak bukti bahwa apa yang dimaksudkan untuk merusak. Tapi kami pasti memiliki bukti niat ini untuk [masuk] ke dalam infrastruktur.”

10. Ransomware Berpotensi Menargetkan Perangkat IoT

Peneliti keamanan telah membuktikan kelayakan menyandera berbagai perangkat IoT. Namun sementara ransomware tersebar luas, penyerang yang menyebarkannya cenderung menargetkan perangkat komputasi tradisional.

Bort memprediksi bahwa dalam lima tahun ke depan, ransomware akan menyebar ke domain baru berbasis IoT. "Saya pikir di suatu tempat di dunia, seseorang akan bangun di pagi hari dan mereka akan turun ke mobil untuk pergi bekerja," katanya. “Begitu mereka menyalakan mobil itu, sistem infotainment akan muncul dengan:‘Ransomware:Kirim 3 Bitcoin untuk menyalakannya.’”

11. Di Dunia yang Terhubung, Pemasok Merupakan Bagian dari Model Risiko

Tahun lalu, Bloomberg membuat gelombang dengan mengklaim China menyusup ke rantai pasokan AS dengan mengorbankan salah satu pemasok motherboard server top dunia. Cerita tersebut dibantah oleh beberapa pemimpin perusahaan teknologi ternama yang disebutkan dalam cerita, termasuk SuperMicro, Apple, dan Amazon serta perwakilan dari Departemen Keamanan Dalam Negeri AS dan Pusat Keamanan Siber Nasional Inggris.

Sementara fakta-fakta artikel mungkin dipertanyakan, apa yang disebut "tinggal di luar negeri" adalah ancaman. “Penyerang tidak hanya membawa alat mereka sendiri ke dalam permainan. Mereka mengambil apa yang sudah ada di lingkungan itu dan menggunakannya untuk melawan Anda," kata Bort. “Apa pun yang menyentuh infrastruktur Anda adalah bagian dari model risiko Anda. Bukan lagi hanya kamu.”

12. Data Anda Berkembangbiak. Begitu pula Cara Penjualannya.

“Tahukah Anda bahwa TV pintar harganya lebih murah daripada TV tanpa fungsi pintar?” tanya Bort di sesi DEFCON. "Mengapa demikian? Mereka menghasilkan uang dari telemetri dan data Anda.”

Artikel Business Insider April mencapai kesimpulan yang sama:“Beberapa produsen mengumpulkan data tentang pengguna dan menjual data itu ke pihak ketiga. Data tersebut dapat mencakup jenis acara yang Anda tonton, iklan mana yang Anda tonton, dan perkiraan lokasi Anda.”

Beberapa pembuat mobil menerapkan taktik serupa, kata Bort. “Ada beberapa model di mana produsen mobil melihat bagaimana dan apa yang dapat mereka ambil dari Anda saat Anda mengemudikan mobil Anda.”

Sebuah laporan untuk Komisi Peninjauan Ekonomi dan Keamanan AS-China menyuarakan keprihatinan tentang "akses tidak sah ke perangkat IoT dan data sensitif" pemerintah China serta memperluas "akses otorisasi." Laporan tersebut menjelaskan:“Akses resmi [China] ke data IoT konsumen AS hanya akan tumbuh karena perusahaan IoT China memanfaatkan keunggulan mereka dalam produksi dan biaya untuk mendapatkan pangsa pasar di Amerika Serikat.”

Bort mengatakan banyak perangkat IoT tingkat konsumen mengirim data ke China. “Jika Anda ingin benar-benar bersenang-senang, colokkan perangkat IoT di rumah Anda, periksa paketnya dan lihat ke mana mereka pergi,” katanya. “Saya belum melihat satu pun perangkat yang saya sambungkan tidak akan pergi ke China. Sekarang, saya tidak menyarankan itu jahat atau jahat.” Biasanya perangkat IoT semacam itu mengirimkan data ke negara tersebut. Dia bertanya:"Di mana mereka dibuat?"